|
существует ли z/OS userid?
|
|
| Gregory | Дата: Вс, 11.02.2018, 00:06 | Сообщение # 1 |
 Генерал-майор
Группа: Доверенные
Сообщений: 482
Статус: Offline
| Возможно, кому-нибудь пригодится...
преамбула
в прикладной системе имеются профайлы, связанные с z/OS userid, содержащие, например, различные параметры этой прикладной системы. естественно, возникает необходимость периодического аудита этих профайлов и удаления данных, относящихся к несуществующим более пользователям.
вопрос
как определить, существует ли в z/OS пользователь с данным userid, не имея специальных привилегий RACF?
решение
ALLOCATE DA(my.dummy.dataset) ... -- распределяем набор данных с произвольным именем и "своим" HLQ
ADDSD my.dummy.dataset UACC(NONE) -- создаем для него отдельный RACF профайл
PERMIT my.dummy.dataset ID(xxxxxxx) ACCESS(NONE) -- xxxxxxx - проверяемый userid
если userid xxxxxxx не существует, код возврата будет отличен от 0
|
| |
| |
| AKonev | Дата: Вс, 11.02.2018, 14:43 | Сообщение # 2 |
|
Лейтенант
Группа: Проверенные
Сообщений: 66
Статус: Offline
| Речь идет о TSO/ISPF профайлах?
по моему достаточно попытаться войти в TSO с любым абстрактным паролем.
Результатом будет или нет пользователя или неверный пароль. В первом случае профайл можно смело удалять. Во втором или пароль неверный или нет TSO сегмента, значит пользователь есть. Скорее всего и в TSO он имеет право входить - иначе профайлу неоткуда взяться. Разумеется есть одно исключение - администратор зачем-то принудительно создал профайл, а прав входа в TSO не дал. Так это экзотика. Значит профайл можно смело оставлять.
|
| |
| |
| Gregory | Дата: Вс, 11.02.2018, 15:10 | Сообщение # 3 |
|
Генерал-майор
Группа: Доверенные
Сообщений: 482
Статус: Offline
| Цитата AKonev (  ) Речь идет о TSO/ISPF профайлах?
По-видимому, я недостаточно внятно изложил задачу. Попробую еще раз, на примере:
Имеется приложение, у которого есть файл такой структуры:
userid parameter, parameter, ...
где userid - идентификатор пользователя z/OS, parameter - параметр прикладной системы.
требуется проверить этот файл на предмет актуальности записей и удалить из него все те записи, для которых пользователя с указанным идентификатором в этой системе более не существует.
Файл с идентификаторами достаточно большой, в нем несколько тысяч записей, так что попытки интерактивно выполнять logon неприемлемы по времени, а программные попытки регистрации очень быстро вызовут блокирование устройства и последующее малоприятное общение с security officer...
задача это не разовая, процесс аудита должен выполняться регулярно, например, раз в квартал.
|
| |
| |
| AKonev | Дата: Вс, 11.02.2018, 17:23 | Сообщение # 4 |
|
Лейтенант
Группа: Проверенные
Сообщений: 66
Статус: Offline
| Угу, понял..
|
| |
| |
| akost | Дата: Пн, 12.02.2018, 10:40 | Сообщение # 5 |
 Admin
Группа: Администраторы
Сообщений: 619
Статус: Offline
| элегантное решение!
у нас когда-то, очень-очень давно, что-то подобное было, правда, не с профилем набора данных игрались, а с каким-то другим профилем, но, видимо, что-то недоработали, потому что не выстрелило. заменили на регулярную выгрузку из RACF.
ваш подход с профилем набора данных мне нравится!
|
| |
| |
| XOpen | Дата: Вт, 13.02.2018, 15:18 | Сообщение # 6 |
 Генерал-майор
Группа: Администраторы
Сообщений: 325
Статус: Offline
| И "своим HLQ не существующим в системе и потому не защищенным профайлом RACF". Могут быть нюансы. SMS может не дать ничего создавать под неизвестными квалификаторами, а все известные могут быть защищены в RACF.
|
| |
| |
| Gregory | Дата: Чт, 15.02.2018, 00:21 | Сообщение # 7 |
|
Генерал-майор
Группа: Доверенные
Сообщений: 482
Статус: Offline
| Цитата XOpen ( ) И "своим HLQ не существующим в системе и потому не защищенным профайлом RACF". Могут быть нюансы. SMS может не дать ничего создавать под неизвестными квалификаторами, а все известные могут быть защищены в RACF.
это почему же "свой HLQ не существующий в системе"? очень даже существующий - для нового пользователя создается generic профайл HLQ.* которым он владеет.
А если даже он и не существует, то это не имеет значения, описанный способ все равно работает. Используется свой квалификатор именно потому, что обычный пользователя RACF владеет только свои профайлом.
А ограничения у предлагаемого способа, конечно же, есть, только они совсем другие:
- в системе может вообще отсутствовать RACF, так как это необязательная подсистема;
- в системе может использоваться альтернативный RACF продукт - TopSecret или ACF2.
Сообщение отредактировал Gregory - Вс, 18.02.2018, 17:26 |
| |
| |
